尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，Apache官方披露了一个通过持久化Session可能导致远程代码执行的漏洞（CVE-2020-9484），攻击者可利用该漏洞构造恶意请求，实施反序列化代码执行攻击。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

经分析，该漏洞利用存在多个条件限制：

1）攻击者可以控制服务器上的文件名/文件内容；

2）服务器上配置使用了 PersistenceManager 的 FileStore；

3）PersistenceManager配置了 sessionAttributeValueClassNameFilter 值为“NULL”或者其他宽松的过滤器，使得攻击者可以提供反序列化对象；

4）攻击者知道 FileStore 使用的存储位置到可控文件的相对路径。

在同时满足以上4个条件时，攻击者可以发送一个恶意构造的请求，来造成反序列化代码执行漏洞。

风险等级

中风险

漏洞风险

若服务器存在上述弱配置，攻击者利用后可获取系统命令执行权限

影响版本

Apache Tomcat 10.x < 10.0.0-M5

Apache Tomcat 9.x < 9.0.35

Apache Tomcat 8.x < 8.5.55

Apache Tomcat 7.x < 7.0.104

修复版本

Apache Tomcat 10.x >= 10.0.0-M5

Apache Tomcat 9.x >= 9.0.35

Apache Tomcat 8.x >= 8.5.55

Apache Tomcat 7.x >= 7.0.104

修复建议

1. 请受影响的用户尽快升级版本进行防护，官方下载链接：

    Apache Tomcat 10.0.0-M5：https://tomcat.apache.org/download-10.cgi

    Apache Tomcat 9.0.35：https://tomcat.apache.org/download-90.cgi

    Apache Tomcat 8.5.55：https://tomcat.apache.org/download-80.cgi

    Apache Tomcat 7.0.104：https://tomcat.apache.org/download-70.cgi

2. 不方便升级的用户，建议暂时禁用 FileStore 功能，或单独配置 sessionAttributeValueClassNameFilte 的值来确保只有特定属性的对象可以被序列化/反序列化。

漏洞参考

1）官方更新通告：https://tomcat.apache.org/security.html

2）社区漏洞报告：https://seclists.org/oss-sec/2020/q2/136